在Azure上承載PCI兼容應用程序

Question

我想在Windows Azure上託管一個應用程序，該應用程序存儲支付每月費用的訂閱用戶的信用卡信息。我只需要儘可能安全地存儲卡數據（經常加密，加鹽，更新數據庫密碼，使用HTTPS等）

我相信我需要符合PCI規範才能存儲此類的信息。我的問題是Azure能否實現這一目標？我有什麼選擇？ Azure流程信用卡付款申請可以嗎？

Answer 1

Windows Azure目前不符合PCI標準。 （它可能會在未來，但不是現在 - 路線圖）

編輯： Azure是現在的Level-1兼容：windowsazure.com/en-us/support/trust-center/compliance

的Windows Azure有一個信任中心頁面，其中介紹了有關其安全性和合規性的所有信息（我建議您在此處詳細瞭解有關Azure的具體內容以及沒有的內容）https://www.windowsazure.com/en-us/support/trust-center/

您有可以在其中構建Azure應用程序的選項，第三方（PCI兼容）爲您處理實際的信用卡處理，從而減輕您在Azur上進行非PCI投訴申請的風險即

Answer 2

截至今天，Azure符合PCI DSS 1級標準。

http://blogs.msdn.com/b/windowsazure/archive/2014/01/16/announcing-pci-dss-compliance-and-expanded-iso-certification-for-windows-azure-general-availability-of-windows-azure-hyper-v-recovery-manager-and-other-updates-to-windows-azure.aspx

https://www.windowsazure.com/en-us/support/trust-center/compliance/

我的PCI合規性的理解意味着你現在允許在Azure上構建應用程序，應該能夠讓他們PCI認證爲好。只是構建應用程序並將其託管在Azure中並不保證合規性。

Answer 3

現在它符合標準。您可以訪問the Windows Asure compliance page以獲取詳細信息，也可以下載Windows Azure客戶PCI指南。

Answer 4

它在廣義上符合規定。嘗試使用webapps和數據庫互相通信而不使用公共IP空間來構建應用程序。以下是PCI-DSS中的一些問題。

了限制不受信任的網絡，並在持卡人數據環境

1.2.1限制入站和出站通信到所必需的持卡人數據環境，並且具體的任何系統組件之間的連接1.2生成防火牆和路由器配置否認所有其他流量。

1.3.3不允許在因特網和持卡人數據環境之間進行任何流量的入站或出站直接連接。

1.3.5應對持卡人數據環境外出的所有流量進行評估，以確保其遵循已建立的授權規則。應檢查連接以限制流量僅限於授權通信（例如通過限制源/目標地址/端口和/或阻止內容）。

Answer 5

Windows Azure PCI合規性證明（AoC）沒有列出客戶實際上可以購買和購買的任何服務。AoC認證以下服務：

Azure核心服務，Azure平臺服務，Azure目錄服務，數據處理，基礎架構，操作。

...但這些服務（至少按名稱，無論如何），不能被「買」。

我已經把下面的博客文章中，至於爲什麼一個QSA像我這樣有幾年的PCI DSS審計經驗，先後與Azure的問題：

https://www.2-sec.com/2015/11/19/is-microsoft-azure-pci-dss-compliant-lessons-in-due-diligence/

蒂姆·霍爾曼，QSA， 2秒...